Page 1 sur 2 12 DernièreDernière
Affichage des résultats 1 à 10 sur 18

Discussion: attaque en cours: vs faites quoi?

  1. #1
    Membre
    Date d'inscription
    May 2012
    Messages
    6

    attaque en cours: vs faites quoi?

    Bonjour,
    Depuis quelques mois, on est l’objet de multiples attaques et l’on a vu des choses bien étranges se passer. On a fini par déterminé que tout se passait sur un site comportant de simples pages html ainsi qu’un forum. Le site traite d’information scientifique. L’audience est peu importante, de sorte que l’on a un peu de peine à comprendre les motivations de ces attaques.

    Ce site a été transféré de son serveur habituel et isolé sur un kimsufi 16g. Le forum a été remonté de toute pièce, histoire de vérifier qu’il n’y ait pas de script douteux ou de fichiers avec des permissions erronées.
    Dans la case intitulée nouveaux membres, on continue à voir apparaître des nouveaux membres alors que l’on ne reçoit aucun messages d’inscriptions. On reçoit des messages d’erreurs. Sauf que l’on n’a pas envoyé de messages, etc. On ne voit rien sur les logs et on n’a aucun indice que le serveur sert d’openrelay. En définitive des trucs plutôt agaçant que bien méchant.

    Sur le graphique MTRG, on a vu aussi apparaître quelques pâtés de couleurs violettes ou vertes. Parfois, le site était inatteignable. Faute de temps, de savoir-faire et comme ce site n’est pas tellement au centre de nos préoccupations, on n’a pas réagit. Et ça s'est arrêté tout seul.

    Hier, sur le graphique MTRG, on voit une consommation de bande passante hors de proportion avec l’audience. L’aspect du graphique est en dent de scie de couleur verte. Comme l’heure est à l’économie de la bande passante, on s’inquiète un peu et on voit dans les logs des centaines (des miliers ?) de lignes comme ça :
    xxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:30 +0200] "GET /images/smilies/hang.gif HTTP/1.1" 404 1791 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5.0$
    xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:30 +0200] "GET /images/smilies/hanky.gif HTTP/1.1" 404 1791 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5.$
    xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:30 +0200] "GET /images/smilies/cunao.gif HTTP/1.1" 404 1791 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5.$
    xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:30 +0200] "GET /images/smilies/juego.gif HTTP/1.1" 404 1791 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5.$
    xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:30 +0200] "GET /images/smilies/ups.gif HTTP/1.1" 404 1791 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5.0 $
    xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:30 +0200] "GET /images/smilies/salta.gif HTTP/1.1" 404 1791 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5.$
    xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:31 +0200] "GET /images/smilies/histerico.gif HTTP/1.1" 404 1790 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozill$
    xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:31 +0200] "GET /images/smilies/tongue.png HTTP/1.1" 404 1790 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5$
    xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:31 +0200] "GET /images/smilies/reglas.gif HTTP/1.1" 404 1790 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5$
    xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:31 +0200] "GET /images/smilies/chino.png HTTP/1.1" 404 1790 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5.$
    xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:31 +0200] "GET /images/smilies/worthy.gif HTTP/1.1" 404 1790 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5$
    Cette attaque a l’air différentte de celles qu’on a subi précédemment.
    Trois questions :
    1) Dans la situation actuelle, vous faites quoi ?
    2) En cas d’attaque (différente de celle de ce jour), quelles sont les logs à aller regarder et les commandes à faire pour déterminer le type de l’attaque et localiser le malfaisant?
    3) Attitude générale à adopter face aux attaques ?
    Merci de votre aide.

  2. #2
    Membre
    Date d'inscription
    September 2006
    Messages
    2 240

    Re : attaque en cours: vs faites quoi?

    Bonjour,

    Où vois-tu une attaque ?

    Je parierais tout simplement que jusqu'à il y a peu (SOA changé le 6 mai) le site http://www.reinosiberos.com était hébergé à l'adresse IP qui est actuellement celle que tu utilises sur ton nouveau serveur Kimsufi.

    Quelqu'un (ou un robot) n'a pas encore vu le changement de DNS et viens donc frapper à cette IP qui est maintenant la tienne.

    Les url demandées (images) existent bien sur reinosiberos.com , par exemple : http://www.reinosiberos.com/images/smilies/juego.gif ou http://www.reinosiberos.com/images/smilies/salta.gif

    Ces 404 cesseront d'elles-même dès que tout le monde aura pris en compte le changement DNS.

    Tu peux si tu veux (solution de luxe) configurer un virtualhost de www.reinosiberos.com sur ton serveur et renvoyer un 503 à toutes les requètes. Plus d'erreur 404 et des logs séparés.

    Si tout vient de la même IP (ou peu d'IP) tu peux les bloquer quelques jours.

    PS: Qu'est-ce que tu leur renvoies en 404 qui pèse 1.7 ko ? Une image d'1 pixel suffirait, voire même juste le 404.

  3. #3
    Membre
    Date d'inscription
    May 2012
    Messages
    6

    Re : attaque en cours: vs faites quoi?

    Où vois-tu une attaque ?
    Peut-être que l'on se trompe et l'on ne sait tout simplement pas lire les MTRG?

    Affichage:
    Maximale:
    Entrée: 6412.8 b/s
    Moyenne:
    Entrée: 1495.6 b/s
    Sortie: 5580b/s
    Actuelle:
    Entrée: 1537.7 b/s
    Sortie: 9889.1 b/s

    e parierais tout simplement que jusqu'à il y a peu (SOA changé le 6 mai) le site http://www.reinosiberos.com était hébergé à l'adresse IP qui est actuellement celle que tu utilises sur ton nouveau serveur Kimsufi.
    Cela doit faire 2-3 mois que l'on a ce serveur.

  4. #4
    Membre
    Date d'inscription
    September 2006
    Messages
    2 240

    Re : attaque en cours: vs faites quoi?

    Citation Envoyé par mont-blanc Voir le message
    Peut-être que l'on se trompe et l'on ne sait tout simplement pas lire les MTRG?
    Vu que tu ne nous les as pas montrés...

    Citation Envoyé par mont-blanc Voir le message
    Cela doit faire 2-3 mois que l'on a ce serveur.
    Dans ce cas ça peut être une bête erreur d'IP dans leur modif DNS d'hier, vu qu'ils sont aussi chez OVH...

    Mais je persiste, provoquer des 404 en demandant des images qui existent bien à la bonne Ip, ce n'est pas pour moi une attaque, tout au plus un stupide robot.

    La question intéressante aussi est de savoir à quel nom de domaine ils s'adressent,
    et surtout pourquoi tu y réponds si ce n'est pas un de tes domaines ?

  5. #5
    Membre
    Date d'inscription
    May 2012
    Messages
    6

    Re : attaque en cours: vs faites quoi?

    Dans ce cas ça peut être une bête erreur d'IP dans leur modif DNS d'hier, vu qu'ils sont aussi chez OVH...

    Mais je persiste, provoquer des 404 en demandant des images qui existent bien à la bonne Ip, ce n'est pas pour moi une attaque, tout au plus un stupide robot.
    Vu comme ça, c'est bien possible. Avec le temps, on est devenu un peu parano.

    Quand on a regardé, ils n'étaient pas chez OVH. Là, ça change les choses car on peut discuter: on va vérifier et envoyer un petit mot.

    Par ailleurs, on a provisoirement failbanisé tous les 404. On va voir si ça marche.

    La question intéressante aussi est de savoir à quel nom de domaine ils s'adressent,
    et surtout pourquoi tu y réponds si ce n'est pas un de tes domaines ?
    Oui, c'est intéressant. Précise ta pensée.
    Une erreur chez nous? ovh? chez eux?

  6. #6
    Membre
    Date d'inscription
    September 2006
    Messages
    2 240

    Re : attaque en cours: vs faites quoi?

    Citation Envoyé par mont-blanc Voir le message
    > et surtout pourquoi tu y réponds si ce n'est pas un de tes domaines ?
    Oui, c'est intéressant. Précise ta pensée.
    Simple: Si sur mon serveur je gère titi.tld, toto.tld et tutu.tld
    et que je reçois une requète concernant trucmuch.tld
    alors je réponds le minimum : 503 (Service Temporarily Unavailable)

    Dans le même style,
    si quelqu'un interroge mon serveur web directement à partir d'une IP
    (donc sans domaine), je ne répond pas : 444 (No Answer)

  7. #7
    Membre
    Date d'inscription
    June 2008
    Messages
    737

    Re : attaque en cours: vs faites quoi?

    Eh bin mon vieux quand ton serveur sera victime d'une vraie attaque lancée au hasard, ça te changera ...

    "failbanniser" tous les 404 est totalement idiot, suffit qu'il manque une image, un smiley ou je ne sais quoi sur ton site et le visiteur réel sera bannis...
    Alors va configurer correctement ton serveur avant de crier au loup pour un 404 qui visiblement est une simple erreur de propa DNS ou de cache google ou robot. xD
    Dernière modification par alexis57 ; 08/05/2012 à 12h32.

  8. #8
    Membre
    Date d'inscription
    May 2012
    Messages
    6

    Re : attaque en cours: vs faites quoi?

    "failbanniser" tous les 404 est totalement idiot, suffit qu'il manque une image, un smiley ou je ne sais quoi sur ton site et le visiteur réel sera bannis...
    On a même banni google....
    et ça nous inquiète pas plus que ça.

    Alors va configurer correctement ton serveur avant de crier au loup pour un 404 qui visiblement est une simple erreur de propa DNS ou de cache google ou robot. xD
    Avant de crier au loup, il faut connaître la situation exactement...

    Il n'y a pas d'erreur de propagation des DNS: il y a des amateurs qui se sont trompés dans la gestion de leurs informations, de leurs DNS et autres IPs. Malheureusement, les bêtises se propagent sur la toile, s'amplifient et c'est difficile de stopper la diffusion de ces erreurs.

    bien le bonjour

  9. #9
    Membre
    Date d'inscription
    May 2012
    Messages
    6

    Re : attaque en cours: vs faites quoi?

    Excellente idée pour disparaître du moteur de recherche.
    Google gère très bien les erreurs 404 vu qu'au bout de 2-3 passages, ils suppriment les pages de son index.
    Par contre quand au bout de 2-3 passages il se mangera du timeout, il dropera le site entier.
    C'est pas tout à fait vrai (heureusement!). Actuellement, google suit les URLs d'un annuaire sudo... (je ne sais plus quoi). Dans cette annuaire, toutes nos URLs se terminent par ph$, ce qui génère un tas de 404 dans les outils de webmaster. Difficile de dire si c'est voulu par celui qui a fait l'annuaire ou si c'est un pro qui s'est saoûlé.
    Quoiqu'il en soit, le trafic sur les différents sites n'a pas bougé d'un poil.

    Le problème d'internet, c'est qu'une certaine catégorie de personne a tendance à recopier les données écrites par les autres et à faire marcher leurs robots sans avoir vérifier la fiabilité des données recueillies et à utiliser une once de leurs cervelles. Bon, maintenant peut-être que leurs cerveaux sont lisses?

    Je me demande combien d'internautes regarde ces annuaires à la gomme.
    L'autre possibilité, c'est qu'il s'agisse quand même d'attaques (donc déguisées)...

    Ceci dit, c'est pas la première fois qu'on a un problème de de ce type avec les kimsufis. Il y a déjà eu des problèmes de blacklistages, des histoires avec les mails, etc. de sorte que des mesures radicales ont été prises et qu'il n'y a plus besoin de chercher les motivations, le pourquoi ou une solution au problème précédemment énoncé.

    La discussion est close. Merci

  10. #10
    Membre
    Date d'inscription
    May 2012
    Messages
    8

    Re : attaque en cours: vs faites quoi?

    Citation Envoyé par mont-blanc Voir le message
    Bon, maintenant peut-être que leurs cerveaux sont lisses?
    Mouais, "l'enfer c'est les autres", le problème c'est qu'on est toujours l'autre de quelqu'un.

    Plus constructif :

    Peut-être que l'on se trompe et l'on ne sait tout simplement pas lire les MTRG?

    Affichage:
    Maximale:
    Entrée: 6412.8 b/s
    Moyenne:
    Entrée: 1495.6 b/s
    Sortie: 5580b/s
    Actuelle:
    Entrée: 1537.7 b/s
    Sortie: 9889.1 b/s
    Si le(s) responsable(s) des mrtg chez ovh n'a pas le cerveau lisse, b/s = bit par secondes, 6412.8 bit par secondes en entrée (moins d'1ko/s), ça s'est de l'attaque. Mais c'est moi qui doit me tromper (histoire de cerveau lisse, toussa)

Page 1 sur 2 12 DernièreDernière

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •